スマートフォンとタブレット向けクライアント証明書

ユーザが携帯デバイスを使用してリソースにアクセスできるようにするには、クライアント証明書を使用してセキュリティゲートウェイに認証できることを確認します。

多くの組織では、クライアント証明書の割り当てや管理の日常業務は、セキュリティゲートウェイを管理する部署とは別の部署が行っています。たとえば、コンピュータのヘルプデスクなどです。SmartConsole を使用してクライアント証明書を作成することを許可する管理者を作成し、他の権限を制限することができます (クライアント証明書に対する権限の付与)。

クライアント証明書を設定するには、SmartConsole を開き、Security Policies >Access Control >Access Tools >Client Certificates にアクセスします。

モバイルアクセスポリシーを設定するには、Manage & Settings >Blades >Mobile Access >Configure in SmartDashboard にアクセスします。SmartConsoleのClient Certificatesページは、SmartDashboardのMobile Accessタブ、Client Certificatesページへのショートカットです。

クライアント証明書の管理

モバイルデバイス向けのCheck Point Mobile Appsでは、証明書のみの認証、またはクライアント証明書とユーザ名/パスワードによる2要素認証を使用できます。この証明書は、モバイルアクセスセキュリティゲートウェイを管理するSecurity Management Serverの内部CAによって署名されています。

Security Policies >Access Control >Access Tools >Client Certificates... でクライアント証明書を管理する。

ページには2つのペインがあります。

  • Client Certificatesペインでは:

    • クライアント証明書の作成、編集、失効を実行します。

    • すべての証明書、そのステータス、有効期限、登録キーを確認します。デフォルトでは、最初の50件だけが証明書リストに表示されます。Show moreをクリックすると、多くの結果が表示されます。

    • 指定した証明書を検索します。

    • ユーザへ証明書情報を送信します。

  • Email Templates for Certificate Distributionペインでは:

    • クライアント証明書配布用のメールテンプレートを作成および編集します。

    • メールテンプレートのプレビュー。

クライアント証明書の作成

- LDAPまたはADを使用している場合、クライアント証明書を作成しても、LDAPまたはADサーバは変更されません。LDAP/ADの書き込みアクセスに関するエラーメッセージが表示された場合は、無視してウィンドウを閉じて続行してください。

  1. SmartConsole で、Security Policies >Access Control >Access Tools >Client Certificates を選択します。

  2. Client Certificatesペインで、Newをクリックします。

    Certificate Creation and Distributionウィザードが開きます。

  3. Certificate Distributionページで、登録キーをユーザに配布する方法を選択します。どちらか一方、または両方を選択することができます。

    1. Send an email containing the enrollment keys using the selected email template-各ユーザは、選択したテンプレートに基づいて、登録キーを含む電子メールを受け取ります。

      • Template- 使用するEメールテンプレートを選択します。

      • Site- ユーザが接続するセキュリティゲートウェイを選択します。

      • Mail Server- メールを送信するメールサーバを選択します。

      Edit をクリックすると、その詳細が表示され、変更することができます。

    2. Generate a file that contains all of the enrollment keys- 全ユーザのリストと登録キーを含む記録用コンテナファイルを作成します。

  4. オプション:登録キーの有効期限を変更するには、Users must enroll within x days で日数を編集する。

  5. オプション: Client Certificates ページの証明書リストの証明書の横に表示されるコメントを追加します。

  6. クリックNext

    Usersページが開きます。

  7. Addをクリックして、証明書を必要とするユーザまたはグループを追加します。

    • 検索フィールドにテキストを入力し、ユーザまたはグループを検索します。

    • グループの種類を選択し、検索を絞り込むことができます。

  8. 含まれるすべてのユーザまたはグループがリストに表示されたら、Generateをクリックして、証明書を作成し、メールを送信します。

  9. 10個以上の証明書を生成する場合は、Yesをクリックして、続行することを確認します。

    進捗ウィンドウが表示されます。エラーが発生した場合は、エラーレポートが開きます。

  10. クリックFinish

  11. クリックSave

  12. SmartConsoleでポリシーをインストールします。

証明書の取り消し

証明書のステータスがPending Enrollmentの場合、証明書を取り消すと、Client Certificateリストに表示されなくなります。

  1. Client Certificateリストから、1つまたは複数の証明書を選択します。

  2. Revokeをクリックします。

  3. クリックOK

証明書を取り消すと、Client Certificateリストに表示されなくなります。

証明書配布用のテンプレートの作成

  1. SmartConsole で、Security Policies >Access Control >Access Tools >Client Certificates を選択します。

  2. 新しいテンプレートを作成するにはEmail Templates for Certificate Distribution ペインで、New を選択する。

    テンプレートを編集するにはEmail Templates for Certificate Distribution ペインでテンプレートをダブルクリックします。

    Email Templateが開きます。

  3. テンプレートのNameを入力します。

  4. オプション: Comment を入力してください。コメントは、Client Certificatesページのメールテンプレートリストに表示されます。

  5. オプション:メールの言語を変更するには、Languages をクリックしてください。

  6. EメールのSubjectを入力します。Insert Fieldをクリックして、ユーザ名などの定義済みフィールドを追加します。

  7. メッセージの本文にテキストを追加して書式設定します。Insert Fieldをクリックして、ユーザ名、登録キー、有効期限などの定義済みフィールドを追加します。

  8. メールテンプレート本文の中をクリックします。

  9. Insert Link をクリックし、追加するリンクの種類(リンクまたはQRコード)を選択します。

    • すでにCheck Pointアプリがインストールされているユーザ向けです。

      ユーザがQRコードを読み取るまたはリンクをクリックすると、サイトが作成され、証明書が登録されます。

      サイトに接続するクライアントの種類を選択 - ユーザがインストールするクライアントの種類を1つ選択します。

      • Capsule Workspace- モバイルデバイス上に安全なコンテナを作成し、ユーザが社内Webサイト、ファイル共有、Exchangeサーバにアクセスできるようにするアプリ。

      • Capsule Connect/VPN- すべてのモバイルアプリケーションへのネットワークアクセスをユーザに提供する、完全なレイヤー3トンネルアプリケーション。

    • モバイルデバイス用のCheck Pointアプリをダウンロードするよう、ユーザに指示します。

      クライアントデバイスのOSを選択します。

      • iOS

      • Android

      サイトに接続するクライアントの種類を選択 - ユーザがインストールするクライアントの種類を1つ選択します。

      • Capsule Workspace- モバイルデバイス上に安全なコンテナを作成し、ユーザが社内Webサイト、ファイル共有、Exchangeサーバにアクセスできるようにするアプリ。

      • Capsule Connect/VPN- すべてのモバイルアプリケーションへのネットワークアクセスをユーザに提供する、完全なレイヤー3トンネルアプリケーション。

    • 独自のURLを設定できます。

    • Link URL- 完全なリンクアドレスを入力してください。

    • QR Code- 有効にすると、ユーザはモバイルデバイスでコードをスキャンします。

    • HTML Link- 有効にすると、ユーザはモバイルデバイスでリンクをタップします。

      QR CodeHTML Linkを選択してメールに両方含めることができます。

    • Display Text- リンクタイトルのテキストを入力します。

  10. クリックOK

  11. オプション: Preview in Browser をクリックすると、メールのプレビューが表示されます。

  12. クリックOK

  13. 変更内容を公開します。

テンプレートの複製

Eメールテンプレートを複製して、既に存在するテンプレートと類似したテンプレートを作成します。

  1. Client Certificatesページのテンプレート一覧から、テンプレートを選択します。

  2. Cloneをクリックします。

  3. 選択したテンプレートの新しいコピーが開き、編集することができます。

クライアント証明書に対する権限の付与

SmartConsoleを使用してクライアント証明書を作成し、その他の権限を制限することができる管理者を作成できます。

  1. 管理者を定義します (管理者アカウントの管理

  2. クライアント証明書を扱う権限を持つ、管理者用のカスタマイズされたプロファイルを作成します。管理者プロファイルのOthersページで設定します。その他の権限を制限する (管理者への権限プロファイルの割り当て)。